Ontwikkelingen Nederlands (inter)netwerkverkeer Peter Smid, Peter Kort September 2019 Stukje proloog uit het nieuwe boek Huib Modderkolk

2 3 ‘De kwetsbaarheid van internet is een maatschappelijk vraagstuk’

› Het niet beschikbaar zijn van het internet leidt tot maatschappelijke problemen. › Andere voorbeelden hiervan zijn: – In financiële sector=> het niet kunnen afwikkeling van betalingsverkeer, bijv banken die door DDoS aanvallen overspoeld worden, zodat zij betalingen van burgers en bedrijven niet meer kunnen verwerken. – In publieke sector => niet kunnen inloggen op overheidsdienstverlening doordat DigiD en/of eHerkenning overspoeld worden door DDoS aanvallen.

4 Context kwaliteitspeering

› Al geruime tijd zijn Distributed Denial of Service (DDoS) aanvallen tegen diensten van de overheid een fact of life. De huidige strategie van de overheid om met DDoS aanvallen om te gaan, is het laten verwijderen van DDoS verkeer door leveranciers met ‘wasstraten’. Met de stijgende lijn in het volume van de DDOS aanvallen is dit praktisch en financieel steeds lastiger vol te houden. Bij extreem grote aanvallen is het zelfs denkbaar dat de internetverbinding van een overheidsvoorziening verstopt raakt. In dat geval is de voorziening onbereikbaar voor burgers en bedrijven. › Daarnaast is het door bundeling van diensten en onderlinge afhankelijkheden van diensten niet meer voldoende dat “ieder voor zich” in voldoende bescherming voorziet, aangezien het uitvallen van één dienst grote invloed kan hebben op verschillende andere diensten.

5 Principe van kwaliteitspeering

6 Kwetsbaarheid intern overheidsverkeer via Internet Applicaties en Informatie van de overheid in overheidsdatacenters

Internet (mobiel, bekabeld)

Burgers Internet

Internet (mobiel, bekabeld)

Bedrijven Applicaties en Informatie van de overheid extern gehost (cloud) =>Introductie Diginetwerk

Applicaties en Informatie van de overheid in datacenters

Internet (mobiel, bekabeld) Diginetwerk Burgers Internet

Internet (mobiel, bekabeld)

Bedrijven Applicaties en Informatie van de overheid extern gehost (cloud) Kwetsbaarheid diensten aan burgers en bedrijven

Applicaties en Informatie van de overheid in datacenters

Internet (mobiel, bekabeld) Diginetwerk Burgers Internet

Internet (mobiel, bekabeld)

Bedrijven Applicaties en Informatie van de overheid extern gehost (cloud) Kwetsbaarheid diensten aan burgers en bedrijven

Applicaties en Informatie van de overheid in datacenters

Internet (mobiel, bekabeld) Diginetwerk Burgers Internet

Internet (mobiel, bekabeld)

Bedrijven Applicaties en Informatie van de overheid extern gehost (cloud) Onze klanten zitten grotendeels in NL ...

Applicaties en Informatie van de overheid in overheidsdatacenters

Nederlandse burgers en bedrijven in het buitenland

Rest van de wereld Diginetwerk Nederland

Burgers en bedrijven in Nederland

Applicaties en Informatie van de overheid extern gehost (cloud) ...en DDOS bronnen buiten Nederland. Applicaties en Informatie van de overheid in overheidsdatacenters

Nederlandse burgers en bedrijven in het buitenland DDOS aanval

Diginetwerk Rest van de wereld Nederland

Burgers en DDOS aanval bedrijven in Nederland DDOS aanval

Applicaties en Informatie van de overheid extern gehost (cloud) => Introductie Kwaliteitspeering

Vrije “busbaan” voor de klanten Applicaties en Informatie van de overheid in van de ISP’s in Nederland... overheidsdatacenters

Nederlandse burgers en bedrijven in het buitenland

Rest van de wereld Diginetwerk Nederland

Kwaliteitspeering

Burgers en bedrijven in KPN Tele2 Nederland Vodafone/ Ziggo

Applicaties en Informatie van de overheid ... reduceert impact DDOS enorm. extern gehost (cloud) Drie soorten DDoS-aanvallen:

› Volume-based aanvallen, › Applicatie aanvallen, die waarbij de aanvaller zoveel kwetsbaarheden benutten in bandbreedte creëert dat applicaties en diensten om netwerk verbindingen en deze uit te schakelen. systemen overbelast raken; › Protocol aanvallen, die er voor zorgen dat firewalls, load balancers en webserver niet goed meer functioneren;

14 Mogelijke Anti-DDOS maatregelen

› Blackholing → Grofstoffelijk › DDOS wasstraten → Kostbaar › Content Delivery Networks → Statische Content, & sleutel (CDN) issues › Kwaliteitspeering → Lokale oplossing

15 Rest of Internet

Prefixes Logius Prefixes BD

Transitdomein Peeringdomein Transitdomein

Burgers&bedrijven (klant KPN) Burgers&bedrijven (klant Tele2) Burgers&bedrijven (klant V/Z)

Vodafone/ Equinix KPN Tele2 KPN Tele2 Prefixes klant KPN Prefixes klant Tele2 Ziggo Prefixes klant Vodafone/Ziggo NLIX

Prefixes Logius+BD no export KwaliteitsPeeringPlatform Prefixes Logius Prefixes BD, KPN,Tele2, Vodafone/Ziggo Prefixes Logius, KPN,Tele2, Vodafone/Ziggo Prefixes BD Prefixes Logius Prefixes BD

Diensten Belastingdienst Diensten Platform Logius

belastingdienst.nl digid.nl 16 Status

› Proof of Concept succesvol – Met KPN, Tele2, Vodafone/Ziggo › Meedoen aan grote DDOS test 19 oktober – Logius platform en platform Belastingdienst – Uitwerken testscenario’s – Jair Santanna Universiteit Twente betrokken › Ook andere benefits komen in beeld › In productie voor één Logius service (Q4)

17 Waarom NORA?

› Basisprincipe is afnemers hebben › De continuïteitsafspraken zijn gemaakt eenvoudig toegang tot de dienst op basis van de afbreukrisico's die (BP03) afnemers lopen bij uitval. Afnemers verwachten 24 uur per dag, 7 dagen › Afgeleide principe (AP09) dat internet per week zaken te kunnen afhandelen, het voorkeurskanaal is voor burgers de continuïteit en beschikbaarheid van en bedrijven met de overheid. de dienstverlening is belangrijk (AP41). › Afbreukrisico van internet is dat continuiteitsafspraken end- to-end niet › De uitdaging is de continuïteit van het mogelijk zijn. Dit laatste is in strijd met gebruik van het internet te verbeteren. basisprincipe betrouwbaar (BP09) en de afgeleide principe is beschikbaarheid (AP 41).

18 Waarom staan wij hier?

› Draagvlak creëren › Voor het verhogen van de continuïteit Digitale Overheid – Diginetwerk – Kwaliteitspeering ‘busbanen’ op internet

19 Wat wordt er van NORA gevraagd?

› Interessante ontwikkeling? › Relevante ontwikkeling? › Hoe te verankeren in NORA? – Bijv. afgeleid principe dat het voorkeurskanaal Diginetwerk is voor onderling verkeer van de overheid. – Bijv. aanvullingen op AP41 beschikbaarheid: Beschikbaarheid van Internetverkeer tussen burgers en bedrijven en digitale overheidsdiensten wordt geborgd middels kwaliteitspeering. › Zelf toepassen van kwaliteitspeering methode? › Deelname aan een gebruikersoverleg? – Verstevigen van positie richting Internet Service Providers door het interessant voor ze te maken.

20 De oorlog is nog steeds gaande

Er zijn nog steeds velen die dit niet weten.

Wij wel!

Wat hebben wij gedaan aan maatregelen?

21 Peter Smid Peter Kort Productowner Team Connect Netwerkarchitect Logius Logius

T 06 25 45 23 96 T 06 15 04 83 24 [email protected] [email protected] Backup

23 Rest of Internet

Transitdomein Peeringdomein Transitdomein Burgers&bedrijven (overig ) Burgers&bedrijven (overig ) Burgers&bedrijven in NL

Vodafone/ Equinix KPN Tele2 KPN Tele2 Ziggo AS????

Nog niet aktief

KwaliteitsPeeringPlatform Alternatief: Peeringverbinding met KPN en/of Tele2

Te realiseren verbinding tussen Kwaliteitspeeringplatform en platform Belastingdienst (Voorstel: E-line van Defensie tussen Equinix AM3 en ODC Apeldoorn)

Diensten Belastingdienst Diensten Platform Logius

belastingdienst.nl digid.nl

24 Rest of Internet

Aanvaller

NIKHEF Aanval op transit Aanval op transit AS????

Tele2 AS1257 Transitdomein Peeringdomein Transitdomein Burgers&bedrijven (overig ) Burgers&bedrijven (overig ) Burgers&bedrijven in NL

Vodafone/ KPN Tele2 KPN Tele2 Equinix Ziggo AS286 AS13127

Nog niet aktief NLIX

KwaliteitsPeeringPlatform AS210207

Geen impact voor klanten van KPN, Tele2 en VodafoneZiggo naar digid & belastingdienst

Diensten Belastingdienst Diensten Platform Logius AS24595 AS62003

Geen impact op verkeer tussen digid & belastingdienst belastingdienst.nl digid.nl 25